GLOBALTRUST Certificate Practice Statement

Transkript

1 public / öffentlich Final Version / Endfassung GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] Autor: Hans G. Zeger Version 1.0b / 1. Februar 2015 OID-Number/Nummer: History/Historie OID-Number/Nummer: Policy Online: Contact: Suspension(Sperre) / Revocation(Widerruf): e-commerce monitoring GmbH 2015 Editorial note: This document has been provided with an advanced signature. The date of signature can deviate from the date of the start of the validity of this document for different legal and organisational reasons. The signature does not give information about the start of the validity of the document, but confirms the integrity of the content. Redaktioneller Hinweis: Das vorliegende Dokument ist mit einer fortgeschrittenen Signatur versehen. Das Datum der Signatur kann aus verschiedenen rechtlichen und organisatorischen Gründen vom Datum des Gültigkeitsbeginns des Dokuments abweichen. Die Signatur gibt keine Auskunft über den Gültigkeitsbeginn des Dokuments, sondern bestätigt nur die Unversehrtheit des Inhalts. Copyright note: The document is subject to copyright and is only made available in the context of certification services. An additional application, full or partial transmission to a third party or the publication of the document by a third party requires the prior consent of the author(s) and the CA Urheberrechtshinweis: Das Dokument unterliegt dem Urheberrecht und wird nur im Rahmen der Zertifizierungsdienste zur Verfügung gestellt. Eine darüber hinausgehende Verwendung, eine vollständige oder auszugsweise Übermittlung an Dritte oder die Veröffentlichung des Dokuments durch Dritte bedarf der vorherigen Zustimmung des Autors/der Autoren und des Zertifizierungsdienstanbieters. e-commerce monitoring GmbH A-1160 Wien, Redtenbacherg /1/ , Fax +43/1/ Gerichtsstand Wien, Handelsgericht Wien FN ahttp://e-monitoring.at info@e-monitoring.at Geschäftsadresse: A-1010 Wien, Vorlaufstraße 5/6 UID: ATU

2 Content/ Inhalt Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] CONTENT ONTENT/ INHALT 1. INTRODUCTION / EINLEITUNG Overview / Übersicht Document name and identification / Dokumenttitel und -identifikation PKI participants / Beteiligte Certification authorities / Zertifizierungsdienstanbieter Registration authorities / Registrierungsstelle Subscribers / Signator Relying parties / Nutzer Other participants / Weitere Beteiligte Certificate usage / Verwendungszweck der Zertifikate Appropriate certificate uses / Verwendungszweck Prohibited certificate uses / Untersagte Nutzung der Zertifikate Policy administration /Policy Verwaltung Organization administering the document /Zuständigkeit für das Dokument Contact person / Kontaktperson Person determining CPS suitability for the policy / Person die die Eignung der CPS bestätigt CPS approval procedures / Verfahren zur Freigabe der CPS Definitions and acronyms / Definitionen und Kurzbezeichnungen PUBLICATION AND REPOSITORY RESPONSIBILITIES / VERÖFFENTLICHUNG UND AUFBEWAHRUNG Repositories / Aufbewahrung Publication of certification information / Veröffentlichung von Zertifizierungsinformationen Time or frequency of publication / Häufigkeit der Veröffentlichung Access controls on repositories / Zugangsbeschränkungen IDENTIFICATION AND AUTHENTICATION / IDENTIFIZIERUNG UND AUTHENTIFIKATION Naming /Benennung Types of names / Arten der Benennung Need for names to be meaningful / Notwendigkeit für aussagekräftige Namen Anonymity or pseudonymity of subscribers / Behandlung von Anonymität oder Pseudonymen von Antragstellern Rules for interpreting various name forms / Interpretationsregeln für verschiedene Benennungsformen Uniqueness of names / Einmaligkeit von Benennungen Recognition, authentication and role of trademarks / Berücksichtigung und Authentifikation von Markennamen Initial identity validation / erstmalige Identitätsfeststellung Method to prove possession of private key / Nachweis über den Besitzes des privaten Schlüssels GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

3 Content/ Inhalt Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] Authentication of organization identity / Authentifikation der Organisation Authentication of individual identity / Identitätsprüfung von Personen Non-verified subscriber information / Nicht-verifizierte Antragstellerdaten Validation of authority / Nachweis der Vertretungsbefugnis Criteria for interoperation / Kriterien für Interoperabilität Identification and authentication for re-key requests / Identifikation und Authentifikation für Schlüsselerneuerung Identification and authentication for routine re-key / Identifikation und Authentifikation für routinemäßige Schlüsselerneuerung Identification and authentication for re-key after revocation / Identifikation und Authentifikation für Schlüsselerneuerung nach Widerrufen Identification and authentication for revocation request / Identifikation und Authentifikation für Widerrufsanträge CERTIFICATE LIFE-CYCLE OPERATIONAL REQUIREMENTS / ANFORDERUNGEN ZERTIFIKATSLEBENSZYKLUS Certificate Application / Antragstellung Who can submit a certificate application / Berechtigung zur Antragstellung Enrollment process and responsibilities / Anmeldungsverfahren und Verantwortlichkeiten Certificate application processing / Bearbeitung von Zertifkatsanträgen Additional verification steps for EV certificate applications Ergänzende Prüfschritte bei Antrag eines EV-Zertifikates Performing identification and authentication functions / Durchführung Identifikation und Authentifikation Approval or rejection of certificate applications / Annahme oder Ablehnung von Zertifikatsanträgen / Approval or rejection of certificate applications Time to process certificate applications / Fristen für die Bearbeitung von Zertifkatsanträgen Certificate issuance / Zertifikatsausstellung CA actions during certificate issuance / Vorgehen des ZDA bei der Ausstellung von Zertifikaten Benachrichtigung des Signators über die Ausstellung des Zertifikats / Notification to subscriber by the CA of issuance of certificate Certificate acceptance / Zertifikatsannahme Conduct constituting certificate acceptance / Verfahren zur Zertifikatsannahme Publication of the certificate by the CA / Veröffentlichung der Zertifikate Notification of certificate issuance by the CA to other entities / Benachrichtigung von Dritten über die Zertifikatsaustellung Key pair and certificate usage / Schlüsselpaar und Zertifikatsnutzung.. 35 GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

4 Content/ Inhalt Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] Subscriber private key and certificate usage / Nutzung des privaten Schlüssels und des Zertifikates durch den Signator Relying party public key and certificate usage / Nutzung des öffentlichen Schlüssels und des Zertifikates durch Nutzer Certificate renewal / Neuaustellung Zertifikat Circumstance for certificate renewal / Umstände für Neuaustellung eines Zertifikats Who may request renewal / Berechtigte für Antrag auf Neuaustellung Zertifikat Processing certificate renewal requests / Bearbeitung eines Antrags auf Neuausstellung Zertifikat Notification of new certificate issuance to subscriber / Benachrichtigung des Signators über die Neuausstellung Zertifikat Conduct constituting acceptance of a renewal certificate / Verfahren zur Annahme nach Neuausstellung Zertifikat Publication of the renewal certificate by the CA / Veröffentlichung der Neuausstellung Zertifikat durch ZDA Notification of certificate issuance by the CA to other entities / Benachrichtigung von Dritten über die Ausstellung eines Zertifikates Certificate re-key / Neuausstellung des Zertifikats mit Erzeugung eines neuen Schlüsselpaares Circumstances for certificate re-key / Umstände für Neuausstellung Zertifikat mit Erzeugung eines neuen Schlüsselpaares Who may request certification of a new public key / Berechtigte für Antrag auf Neuaustellung Zertifikat mit Erzeugung eines neuen Schlüsselpaares Processing certificate re-keying requests / Bearbeitung eines Antrags auf Neuausstellung Zertifikat mit Erzeugung eines neuen Schlüsselpaares Notification of new certificate issuance to subscriber / Benachrichtigung über die Neuausstellung Zertifikat mit Erzeugung eines neuen Schlüsselpaares Conduct constituting acceptance of a re-keyed certificate / Verfahren zur Zertifikatsannahme nach Neuausstellung Zertifikat mit Erzeugung eines neuen Schlüsselpaares Publication of the re-keyed certificate by the CA / Veröffentlichung der Neuausstellung Zertifikat mit Erzeugung eines neuen Schlüsselpaares durch ZDA Notification of certificate issuance by the CA to other entities / Benachrichtigung von Dritten über Neuausstellung Zertifikat mit Erzeugung eines neuen Schlüsselpaares Certificate modification / Zertifikatsänderung Circumstances for certificate modification / Umstände für Zertifikatsänderung Who may request certificate modification / Berechtigte für Antrag auf Zertifikatsänderung Processing certificate modification requests / Bearbeitung eines Antrags auf Zertifikatsänderung Notification of new certificate issuance to subscriber / Benachrichtigung über die Zertifikatsänderung GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

5 Content/ Inhalt Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] Conduct constituting acceptance of modified certificate / Verfahren zur Zertifikatsannahme nach Zertifikatsänderung Publication of the modified certificate by the CA / Veröffentlichung der Zertifikatsänderung Notification of certificate issuance by the CA to other entities / Benachrichtigung über die Zertifikatsänderung Certificate revocation and suspension / Zertifikatswiderruf und -sperre Circumstances for revocation / Umstände für Zertifikatswiderruf Who can request revocation / Berechtigte für Antrag auf Widerruf Procedure for revocation request / Stellung eines Widerrufantrages Revocation request grace period / Informationsfrist für Antragstellung auf Widerruf Time within which CA must process the revocation request / Reaktionszeit des ZDAs auf einen Widerrufsantrag Revocation checking requirement for relying parties / Verpflichtung der Nutzer zur Widerrufsprüfung CRL issuance frequency (if applicable) / Frequenz der CRL- Erstellung Maximum latency for CRLs (if applicable) / Maximale Verzögerung der Veröffentlichung der CRLs On-line revocation/status checking availability / Möglichkeit der online Widerrufsprüfung On-line revocation checking requirements / Voraussetzungen für die online Widerrufsprüfung Other forms of revocation advertisements available / Andere verfügbare Widerrufsdienste Special requirements re-key compromise / Spezielle Anforderung bei Kompromittierung des privaten Schlüssels Circumstances for suspension / Umstände für Zertifikatssperre Who can request suspension / Berechtigte für Antrag auf Sperre Procedure for suspension request / Stellung eines Antrages auf Sperre Limits on suspension period / Dauer einer Zertifikatssperre Certificate status services / Zertifikatsstatusdienste Operational characteristics / Betriebliche Voraussetzungen Service availability / Verfügbarkeit Optional features / Zusätzliche Funktionen End of subscription / Vertragsende Key escrow and recovery / Schlüsselhinterlegung und - wiederherstellung Key escrow and recovery policy and practices / Policy und Anwendung von Schlüsselhinterlegung und -wiederherstellung Session key encapsulation and recovery policy and practices / Policy und Anwendung für den Einschluß und die Wiederherstellung von Session keys FACILITY, MANAGEMENT, AND OPERATIONAL CONTROLS / ANFORDERUNGEN STANDORT, MANAGEMENT UND BETRIEB Physical controls / Bauliche Sicherheitsmaßnahmen Site location and construction / Standortlage und Bauweise GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

6 Content/ Inhalt Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] Physical access / Zutritt Power and air conditioning / Stromnetz und Klimaanlage Water exposures / Gefährdungspotential durch Wasser Fire prevention and protection / Brandschutz Media storage / Aufbewahrung von Speichermedien Waste disposal / Abfallentsorgung Off-site backup / Offsite Backup Procedural controls / Prozessanforderungen Trusted roles / Rollenkonzept Number of persons required per task / Mehraugenprinzip Identification and authentication for each role / Identifikation und Authentifikation der Rollen Roles requiring separation of duties / Rollenausschlüsse Personnel controls / Mitarbeiteranforderungen Qualifications, experience, and clearance requirements / Anforderungen an Qualifikation, Erfahrung und Zuverlässigkeit Background check procedures / Durchführung von Backgroundchecks Training requirements / Schulungen Retraining frequency and requirements / Häufigkeit von Schulungen und Anforderungen Job rotation frequency and sequence / Häufigkeit und Abfolge Arbeitsplatzrotation Sanctions for unauthorized actions / Strafmaßnahmen für unerlaubte Handlungen Independent contractor requirements / Anforderungen an Dienstleister Documentation supplied to personnel / Zur Verfügung gestellte Unterlagen Audit logging procedures / Betriebsüberwachung Types of events recorded / Zu erfassende Ereignisse Frequency of processing log / Überwachungsfrequenz Retention period for audit log / Aufbewahrungsfrist für Überwachungsaufzeichungen Protection of audit log / Schutz der Überwachungsaufzeichnungen Audit log backup procedures / Sicherung des Archives der Überwachungsaufzeichnungen Audit collection system (internal vs. external) / Betriebsüberwachungssystem Notification to event-causing subject / Benachrichtigung des Auslösers Vulnerability assessments / Gefährdungsanalyse Records archival / Aufzeichnungsarchivierung Types of records archived / Zu archivierende Aufzeichungen Retention period for archive / Aufbewahrungsfristen für archivierte Daten Protection of archive / Schutz der Archive Archive backup procedures / Sicherung des Archives Requirements for time-stamping of records / Anforderungen zum Zeitstempeln von Aufzeichnungen GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

7 Content/ Inhalt Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] Archive collection system (internal or external) / Archivierung (intern/extern) Procedures to obtain and verify archive information / Verfahren zur Beschaffung und Verifikation von Aufzeichungen Key changeover / Schlüsselwechsel des Betreibers Compromise and disaster recovery / Kompromittierung und Geschäftsweiterführung Incident and compromise handling procedures / Handlungsablauf bei Zwischenfällen und Kompromittierungen Computing resources, software, and/or data are corrupted / Wiederherstellung nach Kompromittierung von Ressourcen Entity private key compromise procedures / Handlungsablauf Kompromittierung des privaten Schlüssels des ZDA Business continuity capabilities after a disaster / Möglichkeiten zur Geschäftsweiterführung im Katastrophenfall CA or RA termination / Einstellung der Tätigkeit TECHNICAL SECURITY CONTROLS / TECHNISCHE SICHERHEITSMAßNAHMEN Key pair generation and installation / Erzeugung und Installation von Schlüsselpaaren Key pair generation / Erzeugung von Schlüsselpaaren Private key delivery to subscriber / Zustellung privater Schlüssel an den Signator Public key delivery to certificate issuer / Zustellung öffentlicher Schlüssel an den ZDA CA public key delivery to relying parties / Verteilung öffentliche CA- Schlüssel Key sizes / Schlüssellängen Public key parameters generation and quality checking / Festlegung der Schlüsselparameter und Qualitätskontrolle Key usage purposes (as per X.509 v3 key usage field) / Schlüsselverwendung Private Key Protection and Cryptographic Module Engineering Controls / Schutz des privaten Schlüssels und Anforderungen an Signaturerstellungseinheiten Cryptographic module standards and controls / Standards und Sicherheitsmaßnahmen für Signaturerstellungseinheiten Private key (n out of m) multi-person control / Mehrpersonen- Zugriffssicherung zu privaten Schlüsseln (n von m) Private key escrow / Hinterlegung privater Schlüssel (key escrow) Private key backup / Backup privater Schlüssel Private key archival / Archivierung privater Schlüssel Private key transfer into or from a cryptographic module / Transfer privater Schlüssel in oder aus Signaturerstellungseinheiten Private key storage on cryptographic module / Speicherung privater Schlüssel auf Signaturerstellungseinheiten Method of activating private key / Aktivierung privater Schlüssel Method of deactivating private key / Deaktivierung privater Schlüssel GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

8 Content/ Inhalt Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] Method of destroying private key / Zerstörung privater Schlüssel Cryptographic Module Rating / Beurteilung Signaturerstellungseinheiten Other aspects of key pair management / Andere Aspekte des Managements von Schlüsselpaaren Public key archival / Archvierung eines öffentlichen Schlüssels Certificate operational periods and key pair usage periods / Gültigkeitsdauer von Zertifikaten und Schlüsselpaaren Activation data / Aktivierungsdaten Activation data generation and installation / Generierung und Installation von Aktivierungsdaten Activation data protection / Schutz von Aktivierungsdaten Other aspects of activation data / Andere Aspekte von Aktivierungsdaten Computer security controls / Sicherheitsmaßnahmen IT-System Specific computer security technical requirements / Spezifische technische Sicherheitsanforderungen an die IT-Systeme Computer security rating / Beurteilung der Computersicherheit Life cycle technical controls / Technische Maßnahmen während des Lebenszyklus System development controls / Sicherheitsmaßnahmen bei der Entwicklung Security management controls / Sicherheitsmaßnahmen beim Computermanagement Life cycle security controls / Sicherheitsmaßnahmen während des Lebenszyklus Network security controls / Sicherheitsmaßnahmen Netzwerke Time-stampingZeitstempel CERTIFICATE, CRL, AND OCSP PROFILES / PROFILE DER ZERTIFIKATE, WIDERRUFSLISTEN UND OCSP Certificate profile / Zertifikatsprofile Version number(s) / Versionsnummern Certificate extensions / Zertifikatserweiterungen Algorithm object identifiers / Algorithmen OIDs Name formats / Namensformate Name constraints / Namensbeschränkungen Certificate policy object identifier / Certificate Policy Object Identifier Usage of Policy Constraints extension / Nutzung der Erweiterung PolicyConstraints Policy qualifiers syntax and semantics / Syntax und Semantik von PolicyQualifiers Processing semantics for the critical Certificate Policies extension / Verarbeitung der Semantik der kritischen Erweiterung CertificatePolicies CRL profile / Sperrlistenprofile Version number(s) / Versionsnummern CRL and CRL entry extensions / Erweiterungen von Widerrufslisten und Widerrufslisteneinträgen GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

9 Content/ Inhalt Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] 7.3 OCSP profile / Profile des Statusabfragedienstes (OCSP) Version number(s) / Versionsnummern OCSP extensions / OCSP-Erweiterungen COMPLIANCE AUDIT AND OTHER ASSESSMENTS / PRÜFUNG DER KONFORMITÄT UND ANDERE BEURTEILUNGEN Frequency or circumstances of assessment / Häufigkeit und Umstände für Beurteilungen Identity/qualifications of assessor / Identifikation/Qualifikation des Gutachters Assessor's relationship to assessed entity / Beziehung des Gutachters zur geprüften Einrichtung Topics covered by assessment / Behandelte Themen der Begutachtung Actions taken as a result of a deficiency / Handlungsablauf bei negativem Ergebnis Communication of results / Mitteilung des Ergebnisses OTHER BUSINESS AND LEGAL MATTERS / REGELUNGEN FÜR SONSTIGE FINANZIELLE UND GESCHÄFTLICHE ANGELEGENHEITEN Fees / Kosten Certificate issuance or renewal fees / Kosten für Zertifikatsaustellung und -erneuerung Certificate access fees / Kosten für den Zugriff auf Zertifikate Revocation or status information access fees / Kosten für Widerruf oder Statusinformationen Fees for other services / Kosten für andere Dienstleistungen Refund policy / Kostenrückerstattung Financial responsibility / Finanzielle Verantwortung Insurance coverage / Versicherungsdeckung Other assets / Andere Ressourcen für Betriebserhaltung und Schadensdeckung Insurance or warranty coverage for end users / Versicherung oder Gewährleistung für Endnutzer Confidentiality of business information / Vertraulichkeit von Geschäftsdaten Scope of confidential information / Definition vertrauliche Geschäftsdaten Information not within the scope of confidential information / Geschäftsdaten, die nicht vertraulich behandelt werden Responsibility to protect confidential information / Zuständigkeiten für den Schutz vertraulicher Geschäftsdaten Privacy of personal information / Datenschutz von Personendaten Privacy plan / Datenschutzkonzept Information treated as private / Definition von Personendaten Information not deemed private / Daten, die nicht vertraulich behandelt werden Responsibility to protect private information / Zuständigkeiten für den Datenschutz Notice and consent to use private information / Hinweis und Einwilligung zur Nutzung persönlicher Daten GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

10 Appendix / Anhang Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] Disclosure pursuant to judicial or administrative process / Auskunft gemäß rechtlicher oder staatlicher Vorschriften Other information disclosure circumstances / Andere Bedingungen für Auskünfte Intellectual property rights / Schutz-und Urheberrechte Representations and warranties / Zusicherungen und Garantien CA representations and warranties / Leistungsumfang des ZDA RA representations and warranties / Leistungsumfang der Registrierungsstellen Subscriber representations and warranties / Zusicherungen und Garantien des Signators Relying party representations and warranties / Zusicherungen und Garantien für Nutzer Relying party representations and warranties of other participants / Zusicherungen und Garantien anderer Teilnehmer Disclaimer of warranties / Haftungsausschlüsse Limitations on liability / Haftungsbeschränkungen Indemnities / Schadensersatz / Indemnities Term and termination / Gültigkeitsdauer der CP und Beendigung der Gültigkeit / Term and termination Term / Gültigkeitsdauer der CP / Term Termination / Beendigung der Gültigkeit / Termination Effect of termination and survival / Auswirkung der Beendigung Individual notices and communications with participants / Individuelle Mitteilungen und Absprachen mit Beteiligten Amendments / Änderungen Procedure for amendment / Verfahren bei Änderungen Notification mechanism and period / Benachrichtigungsmechanismen und fristen Circumstances under which OID must be changed / Bedingungen für OID-Änderungen Dispute resolution provisions / Bestimmungen zur Schlichtung von Streitfällen Governing law / Gerichtsstand Compliance with applicable law / Einhaltung geltenden Rechts Miscellaneous provisions / Sonstige Bestimmungen Entire agreement/ Vollständigkeitserklärung Assignment / Abgrenzungen Severability / Salvatorische Klausel Enforcement (attorneys' fees and waiver of rights) / Vollstreckung (Anwaltsgebühren und Rechtsmittelverzicht) Force Majeure / Höhere Gewalt Other provisions / Other provisions SCHEDULE / VERZEICHNISSE Author(s) and validity / Autor(en) und Gültigkeitshistorie GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

11 Appendix / Anhang Final Version / Endfassung Version 1.0b GLOBALTRUST Certificate Practice Statement [GCPS - ZDA Betriebsleitlinien] APPENDIX / ANHANG ANHANG A: DOKUMENTATION Bibliographie GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

12 1. INTRODUCTION / Einleitung 1.1 Overview / Übersicht 1. INTRODUCTION / EINLEITUNG ITUNG This GLOBALTRUST Certificate Practice Statement supplements the GLOBALTRUST Certificate Practice Statement (OID ) and sets out detailed procedures for the following product groups: GLOBALTRUST and A-CERT. The security requirements and measures of the CA are contained within the document, GLOBALTRUST Certificate Security Policy ( ). This document is not publicly available. Product group GLOBALTRUST The certification services of the CA are carried out under the product description: GLOBALTRUST. Products that conform to the requirements for qualified signatures and qualified certificates can contain the addition, "QUALIFIED". Products that conform to the requirements for advanced signatures as per the Signature Law [SigG] can contain the addition, "ADVANCED". The scope of validity comes from the applicable Certificate Policy. Product group A-CERT A For A-CERT products, the issuer is not the CA but the operator. Operation takes place along the same standards as those for GLOBALTRUST as per the policies of the applicable products. For A-CERT products, the CA is the "ARGE DATEN Austrian Society for Data Protection" (ZVR ), the association registered in Austria as per the association law, hereafter referred to as the "Society". Product documentation The list of certification products offered for GLOBALTRUST and A-CERT, as per the GLOBALTRUST Certificate Policy, the GLOBALTRUST Dieses GLOBALTRUST Certificate Practice Statement ergänzt die GLOBALTRUST Certificate Policy (OID-Nummer: ) und regelt die detaillierte Vorgangsweise für folgende Produktgruppen: GLOBALTRUST und A-CERT. Die sicherheitstechnischen Anforderungen und Maßnahmen des ZDA sind im Dokument GLOBALTRUST Certificate Security Policy (OID-Nummer: ) enthalten. Dieses Dokument ist nicht öffentlich verfügbar. Produktgruppe GLOBALTRUST Die Zertifizierungsangebote des ZDA werden unter der Produktbezeichnung GLOBALTRUST betrieben. Produkte die den Anforderungen der qualifizierten Signatur bzw. qualifizierten Zertifikaten entsprechen, können den Zusatz "QUALIFIED" erhalten, Produkte die den Anforderungen der fortgeschrittenen Signatur gemäß Signaturgesetz [SigG] entsprechen, können den Zusatz "ADVANCED" erhalten. Der Umfang der Gültigkeit ergibt sich aus der jeweils anzuwendenen Certificate Policy. Produktgruppe A-CERT A Für die Produkte A-CERT ist der Herausgeber nicht Zertifizierungsdienstanbieter (ZDA) sondern Betreiber. Der Betrieb erfolgt nach denselben Standards wie für GLOBALTRUST gemäß den Policies zu den jeweiligen Produkten. Für die Produkte A-CERT ist der in Österreich nach dem Verreinsrecht eingetragene Verein "ARGE DATEN - Österreichische Gesellschaft für Datenschutz" (ZVR ), in Folge kurz "Verein" ZDA. Produktdokumentation Die Liste der gemäß der GLOBALTRUST Certificate Policy, des GLOBALTRUST Certificate Practice Statement und GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

13 1. INTRODUCTION / Einleitung 1.1 Overview / Übersicht Certificate Practice Statement and GLOBALTRUST Certificate Security Policy, a description and a reference to their valid applicable documents are published and continually updated on the website of the operator. This product information assists the selection and application of the right certification products and does not replace the binding reference to the applicable Certificate Policy contained in every certificate issued. Additional conditions for mobile signature services Mobile signature services can contain the addition, "MOBILE", or are otherwise clearly labelled as mobile signature services. The label can be used on its own or in connection with "QUALIFIED". Mobile signature services can be offered as qualified, advanced or simple electronic signature services. Mobile signature services are initiated using mobile phones or other suitable mobile technical devices. Mobile signature services are offered as server services or as "direct electronic signature" (signature on end device) in a mobile technical device. For server services, the technical facilities comply with the same security requirements that apply to server services for issuing certificates ( GLOBALTRUST Certificate Security Policy). For server services, the mobile technical device performs the role of a security-strengthening factor to secure possession of the only signatureunlocking components (eg. mobile phones), alongside knowledge of privileged information (eg. knowledge of the signature PIN to unlock the signature function). This complies with two-factor authentication for server-side signature creation devices and is analogue with the procedure for chipcard-based signature solutions (possession of a chipcard and knowledge of the PIN to initiate the signature function). Possession of the mobile technical device is verified using, in particular, a one-time GLOBALTRUST Certificate Security Policy angebotenen Zertifizierungsprodukte zu GLOBALTRUST und A-CERT, eine Beschreibung und der Verweis auf ihre jeweils gültigen Dokumente wird auf der Website des Betreibers veröffentlicht und laufend aktualisiert. Diese Produktinformation dient zur Unterstützung in der Auswahl und Anwendung der richtigen Zertifizierungsprodukte und ersetzt nicht den verbindlichen Verweis auf die anzuwendende Certificate Policy, die in jedem ausgelieferten Zertifikat enthalten ist. Ergänzende Bestimmungen für mobile Signaturdienste Mobile Signaturdienste können den Zusatz "MOBILE" enthalten oder sind auf andere Weise eindeutig als mobiler Signaturdienst gekennzeichnet. Die Bezeichnung kann alleine oder in Verbindung mit "QUALIFIED" verwendet werden. Mobile Signaturdienste können als qualifizierte, fortgeschrittene oder einfache elektronische Signaturdienste angeboten werden. Mobile Signaturdienste werden mittels Mobiltelefonen oder anderer geeigneter mobiler technischer Einheiten ausgelöst. Mobile Signaturdienste werden als Serverdienste oder als "direkte elektronische Signatur" (Signatur am Endgerät) in der mobilen technischen Einheit angeboten. Bei Serverdiensten entspricht die technische Einrichtung denselben Sicherheitsanforderungen wie sie der Ausstellung von Zertifikaten unterliegt ( GLOBALTRUST Certificate Security Policy). Die mobile technische Einheit übernimmt bei Serverdiensten die Rolle des sicherheitsverstärkenden Faktors um neben dem Wissen um ein Geheimnis (z.b. Wissen der Signatur-PIN zum Auslösen der Signaturfunktion) auch den Besitz der alleinigen signaturauslösenden Komponente (z.b. Mobiltelefons) sicherzustellen. Dies entspricht der Zwei-Faktor-Authentifizierung gegenüber dem serverseitigen Signaturerstellungsgerät und ist analog dem Vorgehen bei chipkartenbasierten Signaturlösungen (Besitz der Chipkarte und Wissen des PIN zum Auslösen der Signaturfunktion). Der Besitz der mobilen technischen GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

14 1. INTRODUCTION / Einleitung 1.1 Overview / Übersicht password that is transmitted using suitable transmission paths (eg. verification SMS). There are no special requirements for server-based signatures on a mobile phone. As mobile technical devices for server solutions, all systems that can be clearly identified without tampering and assigned to one person are taken into consideration. Suitable technical devices are listed on and continually added to the website of the CA. Components that have a certification as per CC EAL4+ or FIPS L2 are suitable as mobile technical devices for qualified electronic signature. In particular, this could be a SIM card with a cryptographic co-processor, microsd cards or USB tokens. Specific obligations of the CA in performing mobile signature services On the server-side, the CA is obligated to adhere to the GLOBALTRUST Certificate Security Policy in the context of performing electronic signatures as a server service, as well as in performing other certification services, in particular, qualified timestamp services. In the context of direct electronic signature, it is ensured that this can only be conducted on devices that conform to the technical requirements. For qualified electronic signatures, the signature component intended for this must have certification from a confirmation authority. Server-based signature services are operated as per the same as the other certification services of the CA. The CA reserves the right to publish an additional Practice Statement to the server-based signature services on the basis of the GLOBALTRUST Certificate Policy and the GLOBALTRUST Certificate Security Policy. Einheit wird insbesondere durch Abfrage eines Einmalpasswortes, dass über geeignete Übertragungswege übermittelt wurde (z.b. Verifikations- SMS) überprüft. An ein Mobiltelefon werden bei einer serverbasierten Signatur keine besonderen Anforderungen gestellt. Als mobile technische Einheiten für Serverlösungen kommen alle Systeme in Betracht, die manipulationssicher eindeutig identifiziert und einer Person zugeordnet werden können. Geeignete technische Einheiten werden auf der Website des ZDA gelistet und laufend ergänzt. Als mobile technische Einheiten für die qualifizierte elektronische Signatur sind jene Komponenten geeignet, die eine Zertifizierung nach CC EAL4+ oder FIPS L2 aufweisen, insbesondere können das SIM-Karten mit kryptographischen Coprozessor, microsd-karten oder USB-Token sein. Spezifische Verpflichtungen des ZDA bei der Erbringung von Mobilen Signaturdiensten Im Rahmen der Erbringung der elektronischen Signatur als Serverdienst verpflichtet sich der ZDA serverseitig zur Einhaltung derselben GLOBALTRUST Certificate Security Policy wie bei der Erbringung anderer Zertifizierungsdienste, insbesondere der qualifizierten Zeitstempeldienste. Im Rahmen der direkten elektronischen Signatur wird sicher gestellt, dass diese nur auf Geräten erfolgen kann, die den technischen Anforderungen entsprechen. Im Falle der qualifizierten elektronischen Signatur muss die dafür vorgesehene Signaturkomponente die Zertifizierung einer Bestätigungsstelle aufweisen. Serverbasierte Signaturdienste werden gemäß derselben betrieben, wie die sonstigen Zertifizierungsdienste des ZDA. Der ZDA behält sich vor, zu den serverbasierten Signaturdiensten auf Basis der GLOBALTRUST Certificate Policy und der GLOBALTRUST Certificate Security Policy ein ergänzendes Practice Statement zu veröffentlichen. GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

15 1. INTRODUCTION / Einleitung 1.1 Overview / Übersicht 1.1 Overview / Übersicht Documents are cited in square brackets [] and listed in Appendix A:1 Bibliography (p99) with bibliographic information. They are cited with the date, 1. Februar 2015, but are applied in the valid applicable version and applicable successor standards. Where not otherwise stated, the validity of weblinks refers to editorial deadline of this document. The current document, "GLOBALTRUST Certificate Practice Statement" (GCPS), describes the essential operational processes for administering and issuing signature creation devices, signature creation data and certificates. Adaptations to appendices, in particular taking current technical developments into consideration, do not mean changes to operational processes, and particularly do not mean changes to the security concept if they are carried out in accordance with the current document and the "GLOBALTRUST Certificate Security Policy". The GLOBALTRUST Certificate Policy describes the general operational and technical requirements for issued certificates, where these are not already addressed in the current GLOBALTRUST Certificate Practice Statement (GCPS) in detail. The GLOBALTRUST Certificate Policy is recorded with its OID and the URL it can be retrieved from in every issued certificate. Dokumente werden in eckigen Klammern [] zitiert und finden sich im Fehler! Verweisquelle konnte nicht gefunden werden. (p82) mit den bibliographischen Angaben gelistet. Sie werden mit Stand 1. Februar 2015 zitiert, aber in der jeweils gültigen Fassung bzw. zutreffenden Folgestandards angewandt. Die Gültigkeit von Weblinks bezieht sich, sofern nicht ausdrücklich anders vermerkt auf den Redaktionsschluss dieses Dokuments. Das vorliegende Dokument "GLOBALTRUST Certificate Practice Statement" (GCPS) beschreibt alle wesentlichen betrieblichen Abläufe zur Verwaltung und Ausstellung von Signaturerstellungseinheiten, Signaturerstellungsdaten und Zertifikate. Anpassungen der Anhänge, insbesondere um aktuelle technische Entwicklungen zu berücksichtigen, bedeuten keine Änderung der betrieblichen Abläufe, insbesondere keine Änderung des Sicherheitskonzepts, wenn sie in Übereinstimmung mit dem vorliegenden Dokument und der "GLOBALTRUST Certificate Security Policy" erfolgen. Die GLOBALTRUST Certificate Policy beschreibt die generellen betrieblichen und technischen Anforderungen zu den ausgegebenen Zertifikaten, soweit diese nicht im vorliegenden GLOBALTRUST Certificate Practice Statement (GCPS) detailliert behandelt sind. Die GLOBALTRUST Certificate Policy ist mit OID-Nummer und Abrufstandort in jedem ausgegebenen Zertifikat eingetragen. GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

16 1. INTRODUCTION / Einleitung 1.2 Document name and identification / Dokumenttitel und - identifikation 1.2 Document name and identification / Dokumenttitel und -identifikation Document title: "GLOBALTRUST Certificate Practice Statement" (GCPS). Dokumententitel: "GLOBALTRUST Certificate Practice Statement" (GCPS) This Practice Statement has the Dieses Practice Statement hat die OID-Number/Nummer: ). OID-Number/Nummer: ). The current document enters into force on the day of its publication on the Das vorliegende Dokument tritt mit dem Tag der Veröffentlichung auf website of the operator. Where not otherwise stated, the validity of earlier der Website des Betreibers in Kraft. Sofern nicht anders vermerkt endet versions of the document ends when the new version becomes valid. die Gültigkeit der früheren Version des Dokuments mit Beginn der Gültigkeit der neuen Version. The current document was drafted in conformity with [RFC3647]. Das vorliegende Dokument wurde konform zu [RFC3647] erstellt. The current document describes all operational processes of the CA in Das vorliegende Dokument beschreibt alle betrieblichen Abläufe des conceptual form and is publicly available on the website of the operator. ZDA in konzeptioneller Form und ist über die Website des Betreibers öffentlich abrufbar. History of changes Änderungshistorie Version 1.0 Draft Version 1.0 Entwurf Internal version and never entered into force Interne Fassung und trat nie in Kraft. Version 1.0b Original version Version 1.0b Stammfassung Editorial deadline: 1. Februar 2015 Redaktionsschluss: 1. Februar 2015 GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

17 1. INTRODUCTION / Einleitung 1.3 PKI participants / Beteiligte 1.3 PKI participants / Beteiligte Certification authorities / Zertifizierungsdienstanbieter Registration authorities / Registrierungsstelle Subscribers / Signator Relying parties / Nutzer Other r participants / Weitere Beteiligte 1.4 Certificate usage / Verwendungszweck der Zertifikate Appropriate certificate uses / Verwendungszweck GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

18 1. INTRODUCTION / Einleitung 1.5 Policy administration /Policy Verwaltung Prohibited certificate uses / Untersagte Nutzung der Zertifikate 1.5 Policy administration /Policy Verwaltung Organization administering the document /Zuständigkeit für das Dokument The current document is the sole responsibility of the CA. Das vorliegende Dokument unterliegt der alleinigen Verantwortung des ZDA Contact person / Kontaktperson Queries about the document can be directed to the operator. Current contact data is listed on the website of the operator. Anfragen zum Dokument sind an den Betreiber zu richten. Die aktuellen Kontaktdaten sind auf der Website des Betreibers gelistet Person determining CPS suitability for the policy / Person die die Eignung der CPS bestätigt CPS approval procedures / Verfahren zur Freigabe der CPS GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

19 1. INTRODUCTION / Einleitung 1.6 Definitions and acronyms / Definitionen und Kurzbezeichnungen 1.6 Definitions and acronyms / Definitionen und Kurzbezeichnungen In addition, the following definitions apply: Product addition ADVANCED Label used for certificates suitable for issuing advanced electronic signatures. Product addition GOVERNMENT Label used for certificates suitable for issuing governmental signatures as per the Austrian E-Government Law. At the same time, these certificates are suitable for advanced electronic signatures. Product addition COMPANY Describes all products for which sub-certificates are issued for subscribers. The rules for awarding sub-certificates can be specified using additional COMPANY policies. These are recorded in the issued sub-certificates. Product addition QUALIFIED Label used for qualified certificates suitable for creating advanced and qualified signatures. These certificates are subject to additional limitations on use. Product addition CLIENT, SERVERCERT, FREECERT, DEMO,, SERVER S SERVER OV, SERVER EV Label used for certificates suitable for creating other signatures (simple signatures) and encyption. Other additions not mentioned always denote certificates that are only suitable for creating simple signatures and for encryption. Zusätzlich gelten folgende Definitionen: Produktzusatz ADVANCED Bezeichnet Zertifikate, die für die Erstellung fortgeschrittener elektronischer Signaturen geeignet sind. Produktzusatz GOVERNMENT Bezeichnet Zertifikate, die für die Erstellung von Amtssignaturen nach dem österreichischen E-Government-Gesetz geeignet sind. Diese Zertifikate sind gleichzeitig für fortgeschrittene elektronische Signaturen geeignet. Produktzusatz COMPANY Beschreibt alle Produkte, bei denen Sub-Zertifikate für Signatoren ausgestellt werden. Die Regeln zur Vergabe der Sub-Zertifikate können durch zusätzliche COMPANY-Policies spezifiziert werden. Diese sind im ausgegebenen Sub-Zertifikat eingetragen. Produktzusatz QUALIFIED Bezeichnet qualifizierte Zertifikate, die für die Erstellung fortgeschrittener und qualifizierter Signaturen geeignet sind. Diese Zertifikate unterliegen zusätzlichen Anwendungsbeschränkungen. Produktzusatz CLIENT, SERVERCERT, FREECERT, DEMO,, SERVER SERVER OV, SERVER EV Bezeichnet Zertifikate, die für die Erstellung sonstiger Signaturen (einfache Signaturen) und zur Verschlüsselung geeignet sind. Sonstige nicht angeführte Zusätze bezeichnen immer Zertifikate, die ausschließlich zur Erstellung einfacher Signaturen und zur Verschlüsselung geeignet sind. GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

20 1. INTRODUCTION / Einleitung 1.6 Definitions and acronyms / Definitionen und Kurzbezeichnungen Test certificates Label used for certificates issued on the basis of X.509v3 standards for the purposes of testing. Identity verification of the applicant (subscriber) does not take place. Test certificates are identifiable, if at least one of the conditions is fulfilled: - for X509v3 certificates, the CN identifier of the CA (issuer) is GLOBALTRUST FREECERT, GLOBALTRUST ADVANCED TEST, GLOBALTRUST GOVERNMENT TEST, in general, GLOBALTRUST *** 1 TEST - for X509v3 certificates, the O identifier (organisation identifier) of the applicant (subject) features the mark, "Test: " prominently. For private persons, this is entered as "Test certificate", - for X509v3 certificates, the certificate contains the corresponding extension (see CPS 7.1.2) - for other certificate types, information on the CA and/or the applicant is selected so that its test status is clear. Qualified certificates cannot be issued as test certificates. Testzertifikate Bezeichnet Zertifikate, die auf Basis des X.509v3-Standards zu Testzwecken ausgestellt werden. Eine Identitätsprüfung der Antragsteller (Signatoren) findet nicht statt. Testzertifikate sind erkennbar, wenn zumindest eine der Bedingungen erfüllt ist: - bei X509v3-Zertifikaten lautet die CN-Bezeichnung des ZDAs (Issuer) GLOBALTRUST FREECERT, GLOBALTRUST ADVANCED TEST, GLOBALTRUST GOVERNMENT TEST, allgemein GLOBALTRUST *** 2 TEST - bei X509v3-Zertifikaten hat die O-Bezeichnung (Organisationsbezeichnung) des Antragstellers (Subject) den führenden Vermerk "Test: ", bei Privatpersonen den Eintrag "Testzertifikat", - bei X509v3-Zertifikaten enthält das Zertifikat eine entsprechende Erweiterung (siehe CPS 7.1.2) - bei anderen Zertifikatstypen sind ZDA- und/oder Antragstellerangaben so zu wählen, das ihre Testeigenschaft eindeutig zum Ausdruck kommt. Qualifizierte Zertifikate können nicht in Form von Testzertifikaten ausgestellt werden. *** = beliebiger zulässiger Produktzusatz 2 *** = beliebiger zulässiger Produktzusatz GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82

21 2. Publication and repository responsibilities / Veröffentlichung und Aufbewahrung 2.1 Repositories / Aufbewahrung 2. PUBLICATION AND REPOSITORY RESPONSIBILITIES / VERÖFFENTLICHUNG UND AUFBEWAHRUNG 2.1 Repositories / Aufbewahrung The current version of this document is available on the website of the operator. Historical versions of this document are available at the office of the regulator or under the OID on the website of the operator. Certificate holders are informed in a timely fashion of changes to the GLOBALTRUST Certificate Practice Statement on the website and per , if provided. Die aktuelle Version dieses Dokuments ist über die Website des Betreibers abrufbar. Historische Versionen des Dokuments sind bei der Aufsichtsstelle abzurufen oder unter der OID-Nummer auf der Website des Betreibers abgelegt. Eine englische Übersetzung dieses Practice Statements wird unter der OID-Nummer veröffentlicht 3. Über die Website bzw. sofern von den Zertifikatsinhabern verfügbar per wird zeitgerecht über Änderungen informiert, die im GLOBALTRUST Certificate Practice Statement vorgenommen werden. 2.2 Publication of certification information / Veröffentlichung von Zertifizierungsinformationen 2.3 Time or frequency of publication / Häufigkeit der Veröffentlichung 3 Die Veröffentlichung erfolgt nach Abschluss der Genehmigung des GLOBALTRUST Certificate Practice Statement durch die Aufsichtsbehörde und hat informativen Charakter. GLOBALTRUST Certificate Practice Statement OID-Number/Nummer: , Version 1.0b / 1. Februar /82